L’Ue si è lanciata in avanti con le regole sull’intelligenza artificiale. Ma oltreoceano si sono mossi gli Usa. Nel suo nuovo libro, edito prima dell’ultimo ordine esecutivo di Biden, il presidente di I-Com Stefano Da Empoli traccia la mappa degli sforzi europei per rimanere leader nel settore e spiega perché l’attivismo statunitense potrebbe finire per vanificarli
Pubblichiamo un estratto de L’economia di ChatGPT. Tra false paure e veri rischi, scritto dal presidente dell’Istituto per la Competitività (I-Com) ed edito da Egea. Dopo la sua pubblicazione (e in linea con quanto previsto dall’autore) l’amministrazione statunitense guidata da Joe Biden ha emesso un executive order in materia di intelligenza artificiale.
L’Europa sempre più concentrata nel ruolo di rule-maker globale
Fin dai primi documenti strategici [in ambito europeo], le regole sono state l’altra parola chiave accanto agli investimenti. Giustamente, aggiungiamo. Anche perché buone regole sono la premessa essenziale per un flusso adeguato di investimenti. Oltre a risultare essenziali per guidare l’IA verso valori democratici e umanistici.
Il problema semmai è che il rapporto tra regole e investimenti pian piano si è squilibrato in favore delle prime. Sarà che l’Unione europea ha armi più spuntate, come si è visto, per i secondi oppure perché la regolazione è più nelle corde di Bruxelles e dei circoli che vi ruotano intorno di quanto lo siano gli investimenti, ebbene lo spostamento del focus è stato evidente. E ha raggiunto il suo apice dopo la presentazione della proposta di regolamento che stabilisce regole armonizzate sull’IA (più noto come AI Act), avvenuta nell’aprile del 2021 all’interno del [cosiddetto] AI package, accompagnato dalla Comunicazione Promuovere un approccio europeo all’intelligenza artificiale nonché dalla già citata revisione del Piano coordinato sull’intelligenza artificiale.
L’AI Act è di fatto la prima legge al mondo che prova a regolamentare l’IA in maniera strutturale e completa, con l’ambizione di confermare la leadership europea (perlomeno) a livello normativo. Grazie al cosiddetto Brussels effect, espressione coniata già nel 2012 da Anu Bradford, attualmente professoressa di diritto europeo alla Columbia University e con un passato di funzionaria presso le istituzioni europee. Bradford, che ha poi approfondito la crescente influenza della regolazione europea a livello mondiale in un fortunato libro del 2020, distingue tra un effetto de facto e uno de iure. Il primo trova la sua origine nei costi in cui incorrono le aziende multinazionali per adattare le proprie policy ai differenti mercati; la conseguenza è che tali imprese preferiscono adottare standard unici possibilmente basati sulla legislazione di un’area corrispondente a un mercato sufficientemente grande, che è stato regolato prima di altri. E qui scatta l’effetto de iure. Un Paese o un’area politica sufficientemente importante e in grado di regolare in maniera efficace un particolare settore può influenzare anche altri Paesi che potrebbero avere tutto l’interesse a uniformarsi ad essa, proprio per abbracciare lo standard più seguito a livello internazionale. Tra i casi citati dalla giurista di origine finlandese compare il Regolamento generale sulla protezione dei dati (Gdpr) dell’Ue, approvato nel 2016 ed entrato in vigore due anni dopo, che è spesso citato dalle istituzioni europee come un archetipo per esercitare nell’IA un nuovo «Brussels effect». Nella stessa scia potremmo collocare il Digital Markets Act e il Digital Services Act, i due provvedimenti approvati nel 2022 che regolano il settore digitale, limitando i possibili abusi delle imprese e in particolare delle Big Tech.
L’AI Act si basa su una valutazione del rischio, con prescrizioni regolamentari che aumentano al crescere dei rischi associati a una particolare applicazione dell’IA, fino a vietarne l’uso in alcune circostanze. Le attività ad alto rischio non sono soggette a proibizioni assolute ma a tutta una serie di obbligazioni su gestione dei rischi, governance dei dati, documentazione tecnica e relativa conservazione nel tempo, trasparenza e fornitura di informazioni agli utenti, supervisione umana nonché accuratezza e robustezza dei dati e cybersicurezza. È evidente come tutto questo possa comportare costi molto significativi che penalizzano in particolare le aziende di dimensione inferiore, che più probabilmente sono di nazionalità di un Paese Ue.
Per le attività a basso rischio, che poi rappresentano nella tassonomia concepita dalla Commissione la terza possibile tipologia (dopo quelle vietate e quelle ad alto rischio), sono previsti obblighi di trasparenza come informare le persone che stanno interagendo con un sistema di IA […].
Questo focus dell’AI Act sulle singole applicazioni per regolamentare non l’IA di per sé ma i suoi possibili usi – principio che ha una sua piena ragionevolezza – ha tuttavia creato un primo importante incidente di percorso, di cui per fortuna i legislatori europei hanno potuto tener conto complice il fatto che la discussione in Consiglio e soprattutto in Parlamento è durata un paio di anni prima che le due istituzioni raggiungessero una posizione comune. Nel testo approvato dal Parlamento si è così fatto in tempo a inserire in un articolo una previsione sulla cosiddetta general-purpose AI. I sistemi basati sull’IA generativa possono infatti avere miriadi di applicazioni a cui corrispondono altrettanti benefici e rischi. Vista l’enorme diffusione in pochi mesi di questo tipo di tool, a partire da ChatGPT, è senz’altro utile prevedere quantomeno un set minimo di regole. Ma attenzione a farsi prendere la mano. La classificazione della general-purpose AI nell’ambito delle attività ad alto rischio, finora opportunamente sventata, potrebbe disincentivare lo sviluppo di questa promettente tecnologia a causa degli onerosi costi di certificazione e delle rigide obbligazioni enucleate agli artt. 9-15 della proposta.
L’intervento non è particolarmente semplice anche perché modelli di IA generativa possono essere utilizzati da altri soggetti, in modalità open source (come LlaMa) oppure attraverso API (application programming interface) come Bard, Claude o GPT, per sviluppare applicazioni ulteriori che spesso e volentieri rappresentano proprio i casi più concreti di interazioni dirette con la vasta platea dei consumatori e degli utenti, con tutti i rischi (oltre ovviamente ai benefici) che ciò potrebbe comportare.
Un altro profilo importante nel bilanciamento tra innovazione e rischi, senz’altro migliorato dal testo approvato dal Parlamento europeo, è quello delle cosiddette regulatory sandbox, un ambiente controllato (di qui per l’appunto il termine che in italiano potrebbe tradursi come «sabbiera» o «recinto di sabbia») in cui l’IA può essere testata esonerando i fornitori dagli obblighi previsti per applicazioni più estese. Si prevede inoltre che le sandbox possano essere transnazionali (stabilite di concerto tra due o più Stati membri), un passaggio fondamentale per preparare lo scaling-up successivo dei sistemi di IA, una volta che le sperimentazioni diano esiti positivi dal punto di vista sia dei benefici sia della sicurezza. In questo modo, qualora siano attuate tempestivamente e con sufficiente estensione, si potrebbero bilanciare le parti più restrittive e onerose del regolamento, soprattutto per le piccole imprese.
Eppur (forse) qualcosa si muove a Washington
Una condizione essenziale per il dispiegarsi del «Brussels effect», nelle due versioni reciprocamente rinforzantisi evocate da Anu Bradford, almeno nell’arena digitale delle ultime decadi, è stata l’inerzia regolamentare degli Stati Uniti. Per stare agli esempi citati in precedenza, sul fronte di un regolamento federale della privacy al Congresso non è stato mai raggiunto un consenso bipartisan. Si sono dunque mossi alcuni Stati, in primis la California, peraltro in ritardo rispetto all’Unione europea. Anche per quanto riguarda la regolazione delle aziende digitali, i tanti tentativi di questi ultimi anni, alcuni dei quali promossi da politici sia democratici sia repubblicani, sono inciampati in una feroce resistenza. Tra i soggetti più tiepidi verso questi esercizi, comprese le proposte avanzate da suoi colleghi democratici, come le senatrici Amy Klobuchar e Elizabeth Warren, si può senz’altro annoverare l’influentissimo leader della maggioranza democratica Charles Schumer, senatore dello Stato di New York, che tuttavia ha manifestato intenzioni molto diverse sull’IA in seguito all’esplosione dei modelli generativi.
Alla fine di giugno del 2023 è stato proprio Schumer a presentare in prima persona il SAFE Innovation in the AI Age, una proposta di legge che vorrebbe intestarsi con l’ambizione esplicitamente dichiarata di farla diventare la regolamentazione di riferimento a livello mondiale in materia di IA, mantenendo la barra dell’innovazione più in alto di quanto non facciano altri tentativi nel mondo, a partire da quello Ue. Per trovare un equilibrio diverso tra innovazione e protezione dai rischi, Schumer ha annunciato che nell’autunno 2023 avrebbe organizzato al Senato qualcosa di inedito nella lunga storia del Campidoglio: un ciclo di «AI insight forum», come li ha definiti, in cui riunire i soggetti più qualificati sui diversi profili affrontati, secondo una procedura che assicuri piena trasparenza e massima partecipazione, e farli discutere insieme ai senatori dei principali temi sui quali dovrà intervenire l’AI Act statunitense che, nella visione di Schumer, dovrebbe puntare a raggiungere quattro obiettivi principali. Innanzitutto, la sicurezza, prevedendo «guardrail» per proteggere gli Stati Uniti dall’uso dell’IA da parte di attori malintenzionati, preservando al contempo la sicurezza economica americana nonché preparando, gestendo e mitigando gli impatti sulla forza lavoro. Non è un caso che per presentare la sua proposta il senatore democratico abbia scelto il Center for Strategic and International Studies (Csis), think tank tra i più noti a Washington ma certamente non per i temi digitali (anche se, riconoscendo la loro crescente importanza nello scacchiere mondiale e in particolare nella sfida con la Cina, il Csis ha recentemente costituito al proprio interno un osservatorio sull’IA e le tecnologie avanzate). Altre priorità sono rappresentate dal principio di responsabilità, attraverso previsioni che promuovano pratiche etiche a tutela dei bambini, delle fasce vulnerabili e dei detentori di proprietà intellettuale; i valori democratici, garantendo algoritmi in linea con i valori della libertà umana, i diritti civili e la giustizia (anche qui in chiave esplicitamente anti-cinese); e la spiegabilità, sviluppando sistemi che spieghino in maniera accessibile a tutti gli utenti come i sistemi di IA prendano decisioni e raggiungano conclusioni – a oggi, un tallone di Achille dei modelli di deep learning alla base dell’IA generativa.
In realtà Schumer non predica nel vuoto. Abbiamo già accennato nel Capitolo 5 alle iniziative intraprese dalla Casa Bianca. Secondo un’inchiesta apparsa sul Wall Street Journal, [il presidente statunitense Joe] Biden è rimasto così colpito da strumenti come ChatGPT da chiedere ai suoi collaboratori di interrogare i tool di IA in sua presenza su una serie di questioni anche complesse, tra le quali un oscuro caso approdato alla Corte Suprema, e sia rimasto sorpreso e al tempo stesso sconvolto dalle loro potenzialità. In positivo ma anche in negativo. Per questo Biden a maggio 2023 si è affrettato a convocare le aziende al centro di questa rivoluzione tecnologica e a giugno ha promosso un incontro con alcuni dei massimi esperti e ricercatori a San Francisco. E, passo più concreto, ha strappato una serie di impegni ai leader dell’IA generativa (Amazon, Anthropic, Google, Inflection, Meta, Microsoft e OpenAI), annunciati il 21 luglio con tanto di photo opportunity accanto al presidente stesso. Molti hanno fatto notare la natura volontaria degli impegni, altri il wording (volutamente?) ambiguo, forse per limitare la possibilità di contenziosi legali. Si tratta tuttavia di uno sviluppo da non sottovalutare, che si va a sommare ad altre iniziative giunte a compimento di recente e che, per quanto siano anch’esse su base volontaria, gettano alcuni semi che potrebbero generare i loro frutti a breve, qualora i progetti di Schumer e altre iniziative legislative promosse nel frattempo andassero in porto.
Il riferimento è, in particolare, a due documenti: il Blueprint for an AI Bill of Rights e l’AI Risk Management Framework. Il primo è stato promosso direttamente dalla Casa Bianca e dal suo Ufficio per le politiche della scienza e della tecnologia, il secondo dal National Institute of Standards and Technology (Nist), agenzia tecnica del Dipartimento del Commercio. Entrambi condividono un lungo percorso di confronto con gli stakeholder, iniziato nel 2021, poco dopo l’arrivo della nuova amministrazione. Il Blueprint è stato varato nell’ottobre del 2022, il Framework nel gennaio del 2023. Seppure basandosi sullo stesso approccio per un’IA responsabile, hanno finalità piuttosto diverse. Il primo definisce delle linee guida etiche, basate su cinque principi: sicurezza ed efficacia; protezioni da discriminazioni algoritmiche; privacy; notifica e spiegazione; alternative umane, attenzione e ripiego. Il secondo punta a dare delle direttive tecniche a chi sviluppa e usa prodotti di IA, per gestire al meglio i potenziali rischi emergenti durante il loro intero ciclo di vita, articolandole in quattro funzioni (Govern, Map, Measure, Manage). Come detto, sono tuttavia entrambi documenti non vincolanti e dunque rimessi alla libera volontà degli attori ai quali sono destinati, più o meno paragonabili agli orientamenti etici per un’IA affidabile, definiti a livello europeo già nel 2019. Uno step certamente significativo ma anche un semplice antipasto dell’AI Act, la portata principale dell’impianto normativo comunitario.
La firma degli impegni da parte delle aziende discende dunque dal filone di soft regulation, nel quale si inserivano il Blueprint e il Framework, adattato sia nell’enfasi sia nell’urgenza alle nuove sfide poste dall’IA generativa, per esempio con una forte attenzione alla proprietà intellettuale o a sistemi di watermarking che etichettino i prodotti IA consentendo agli utenti di distinguerli facilmente da quelli umani (su questo fronte le imprese sono molto attive e stanno già sfornando le prime soluzioni) oppure alla condivisione da parte delle aziende di informazioni sulla gestione dei rischi e alla possibilità da parte di terzi di controllare eventuali vulnerabilità. Ma quel che è nuovo è che, a differenza del Bill e del Framework, essendoci in questo caso degli impegni concreti da parte delle imprese, potrebbero esserci conseguenze a livello legale in caso di mancato rispetto. Chiaramente questo potrebbe avvenire solo in casi accertati di dolo o colpa grave rispetto ai principi talvolta vaghi e ampi evocati nel testo sottoscritto, ma si tratta pur sempre di un primo passo. E di certo non sembra essere l’ultimo.
Oltre all’iniziativa legislativa, certamente lo sviluppo più ambizioso che potrebbe avere luogo entro la fine dell’attuale mandato presidenziale, ci saranno con ogni probabilità nuovi ordini esecutivi di Biden, la cui portata sarà senz’altro più limitata ma che potrebbero risultare significativi, specie rispetto alla pubblica amministrazione, per esempio se si andasse oltre o quantomeno si desse seguito all’ordine esecutivo 13859 del 2019, intitolato Mantenere la leadership americana nell’intelligenza artificiale. L’ordine, firmato dall’allora presidente Trump, chiedeva alle agenzie federali di sviluppare piani di regolamentazione dell’IA nelle proprie aree di competenza. Ma a dicembre 2022 soltanto cinque delle quarantuno principali agenzie avevano eseguito tale ordine e solo una, il Dipartimento della salute e dei servizi umani (Hhs), aveva presentato un piano approfondito. Parallelamente, l’Ufficio per le politiche della scienza e della tecnologia della Casa Bianca si sta occupando di elaborare quella Strategia nazionale per l’IA che finora è mancata all’appello. Ha dunque lanciato una consultazione pubblica alla fine di maggio del 2023, basata su un questionario di 29 domande che toccavano i temi più diversi, dalla protezione dei diritti e della sicurezza nazionale all’avanzamento dell’equità e al rafforzamento dei diritti civili (a livello anche internazionale), dalla promozione di democrazia, crescita economica e «buoni» posti di lavoro all’innovazione nei servizi pubblici.
Goodbye, Brussels effect?
Come si può ben dedurre da queste brevi note su quanto è accaduto di recente e su quanto potrebbe accadere a breve negli Stati Uniti, è indubbio che l’irrompere dell’IA generativa abbia accelerato un processo di convergenza già in atto tra le due sponde dell’Atlantico. Peraltro, l’amministrazione Biden sta lavorando alacremente anche a livello internazionale, in particolare all’interno del G7, per accrescere la collaborazione su questi temi e identificare principi e regole comuni (almeno ai Paesi che condividono gli stessi valori democratici). Questa è certamente una buona notizia perché si può far fronte a molti dei rischi dell’IA solo con azioni concertate a livello internazionale (e a questo proposito va bene cercare forme di engagement rafforzato tra Paesi like-minded ma sarebbe un terribile errore non perseguire il dialogo anche con tutti gli altri, a parti re dalla Cina, sicuramente il Paese con l’IA più avanzata tra quelli non democratici).
Tuttavia, una volta accolto positivamente il neoattivismo statunitense, che probabilmente sarà confermato da qualsiasi presidente siederà alla Casa Bianca nel gennaio 2025, non può sfuggire che qualora gli Stati Uniti – che, ricordiamolo, sono oggi più che mai il Paese leader tecnologico ed economico dell’IA, primato ulteriormente consolidato grazie all’IA generativa – si dotino di una strategia nazionale e di una legge paragonabile al nostro AI Act, i sogni di «Brussels effect» coltivati da noi europei andrebbero a farsi benedire o quantomeno sarebbero messi subito in discussione, prima ancora che le regole europee possano sperare di essere recepite da qualche altro Paese. Questo naturalmente non vuol dire che l’Europa non debba continuare il suo percorso e fermarsi a metà strada. O attendere il proprio partner transatlantico. Questa possibilità dovrebbe però servire ai decisori UE come monito in due direzioni diverse ma complementari: dare adeguato spazio all’innovazione nell’AI Act, minimizzandone i costi, in particolare per le startup di oggi e di domani, e riprendere le redini del Piano coordinato sull’AI che avrebbe dovuto appunto coordinare e allo stesso tempo monitorare gli investimenti pubblici e privati a livello europeo (ma che di fatto è un meccanismo piuttosto spuntato, come abbiamo provato a dimostrare nelle pagine precedenti). Senza un deciso colpo di acceleratore su questi due aspetti, la collaborazione tra i partner transatlantici rischia di partire profondamente sbilanciata, con orizzonti di gloria da questa parte dell’Atlantico tutt’al più limitati a pochi sporadici successi o, ancora peggio, ai tanti connazionali protagonisti della rivoluzione in atto dall’altra parte dell’oceano.